Microsoft retire des ingénieurs basés en Chine du travail sur le cloud du Pentagone

Microsoft a annoncé vendredi qu’il ne permettrait plus aux ingénieurs basés en Chine de fournir un soutien technique pour les systèmes cloud du ministère de la Défense des États-Unis (DoD), suite à des préoccupations concernant l’implication étrangère dans des systèmes sensibles du Pentagone.

Examen de sécurité déclenché par un rapport d’enquête

Le changement a été provoqué après qu’un rapport détaillé de ProPublica publié plus tôt cette semaine a soulevé des alarmes concernant les risques potentiels en matière de cybersécurité liés à la main-d’œuvre à l’étranger de l’entreprise. Le rapport a révélé que Microsoft s’était longtemps appuyé sur des ingénieurs en Chine pour aider à soutenir les systèmes cloud du Pentagone, sous la supervision de « guides numériques » basés aux États-Unis.

Bien que ces guides embauchés par le biais de sous-traitants aient des habilitations de sécurité, selon ProPublica, ils manquaient des compétences techniques pour comprendre ou évaluer pleinement le travail des ingénieurs chinois qu’ils supervisaient, ce qui posait une menace pour la cybersécurité des États-Unis.

Cet arrangement a soulevé de sérieuses préoccupations parmi les législateurs et les responsables de la défense américains. Pete Hegseth, secrétaire à la Défense des États-Unis, dans une vidéo publiée sur X, a qualifié cette pratique d’« évidemment inacceptable », surtout dans l’environnement actuel de menaces cybernétiques accrues.

Hegseth a décrit le système comme obsolète, le qualifiant de « système hérité créé il y a plus d’une décennie, sous l’administration Obama ». Il a confirmé que le ministère de la Défense procéderait à un examen interne complet pour découvrir d’autres pratiques similaires au sein de ses réseaux. De plus, le ministère a commencé à évaluer d’autres fournisseurs de services cloud pour s’assurer que des arrangements d’externalisation similaires ne sont pas utilisés ailleurs.

Le secrétaire à la Défense a également annoncé un examen de deux semaines de tous les accords cloud du Pentagone pour s’assurer que « la Chine n’aura plus aucune implication dans nos services cloud, avec effet immédiat. » Il a ajouté : « Nous continuerons à surveiller et à contrer toutes les menaces à notre infrastructure militaire et à nos réseaux en ligne. »

Microsoft répond rapidement

En réponse, Microsoft a rapidement mis à jour ses protocoles internes pour répondre aux préoccupations.

« En réponse aux préoccupations soulevées plus tôt cette semaine concernant les ingénieurs étrangers supervisés par les États-Unis, Microsoft a apporté des modifications à notre soutien aux clients du gouvernement américain pour garantir qu’aucune équipe d’ingénieurs basée en Chine ne fournit d’assistance technique pour le cloud du gouvernement du DoD et les services connexes », a écrit Frank Shaw, directeur de la communication de Microsoft, dans un post sur X.

Implications plus larges pour la sécurité cloud des États-Unis

La décision de Microsoft impacte directement sa division cloud Azure, qui concurrence Amazon Web Services (AWS) et Google Cloud, et est fortement intégrée dans l’infrastructure gouvernementale et de défense des États-Unis. En 2022, Microsoft a obtenu une part d’un contrat multi-fournisseurs de 9 milliards de dollars attribué par le ministère de la Défense aux côtés d’Amazon, Google et Oracle.

Avant l’enquête de ProPublica, l’entreprise avait souligné que ses ingénieurs et sous-traitants respectaient en tout temps les lois du gouvernement américain, mais a reconnu que l’inquiétude croissante du public nécessitait des mesures de sécurité plus strictes à l’avenir.

« Nous restons déterminés à fournir les services les plus sécurisés possibles au gouvernement américain, y compris en travaillant avec nos partenaires en matière de sécurité nationale pour évaluer et ajuster nos protocoles de sécurité si nécessaire », a déclaré Shaw.